تعتمد المنظمات بشكل متزايد على الخدمات السحابية لدفع الابتكار والكفاءة التشغيلية ، ومع وجود المزيد من أعباء العمل الذكاء الاصطناعي (AI) تستخدم تسارع الذكاء الاصطناعي القائم على السحابة ، ترتبط استراتيجيات المنظمات AI بـ الأمن والتوافر من هذه الخدمات.
تقول Aditya Sood ، نائبة رئيس هندسة الأمن واستراتيجية الذكاء الاصطناعى في Aryaka ، إنه على الرغم من أن SLAs تغطي عادة مقاييس مثل وقت التشغيل وأوقات الاستجابة للدعم وأداء الخدمة ، إلا أنها غالبًا ما تغفل عناصر مهمة مثل حماية البيانات والاستجابة للانتهاك والامتثال التنظيمي.
هذا ، كما يقول ، يخلق فجوة مسؤولية ، حيث يمكن أن تؤدي الافتراضات حول من هو المسؤول إلى بقع عمياء خطيرة. على سبيل المثال ، قد يفترض العميل أن SLA الخاص بمزود السحابة يضمن حماية البيانات ، فقط لإدراك أن عمليات التمييز الخاصة بهم أو ممارسات إدارة الهوية الضعيفة قد أدت إلى خرق البيانات.
يقول: “قد تعتقد المنظمات عن طريق الخطأ أن مزودها يتعامل مع أكثر مما يعالج ، مما يزيد من خطر عدم الامتثال والحوادث الأمنية والاضطرابات التشغيلية”.
يوصي Sood بأن يضمن صانعي القرار في تكنولوجيا المعلومات أن يأخذوا في الاعتبار الفروق الدقيقة بين التزامات SLA والمسؤوليات الأمنية المشتركة. وهو يعتقد أن هذا أمر حيوي للمنظمات لتحقيق أقصى استفادة من الخدمات السحابية دون تقويض المرونة أو الالتزامات التنظيمية.
في تجربة Bruce ، يعد اختلال SLA مع متطلبات تكنولوجيا المعلومات في الشركات أكثر شيوعًا مما يدركه العديد من القادة. يقول: “سواء كانت منصة منظمة العفو الدولية المتطورة من بدء التشغيل ، أو البرامج المتخصصة كخدمة (SAAS) مع ضمانات أمان محدودة ، أو حتى مقدمي الخدمات السحابية المعمول بها ، فإن SLAs المعتاد الذين تفتقر إلى المتطلبات التنظيمية ، يمكن أن تكون الفجوة بين ما يقدمه مقدمو الخدمات وما تحتاجه المؤسسات كبيرة”.
وفقًا لبروس ، يقدم النظام البيئي السحابي الحديث مشهدًا معقدًا. يقول: “في حين أن مقدمي الخدمات السحابية الرئيسية مثل AWS [Amazon Web Services]و [Microsoft] نضجت Azure و Google Cloud عروضها الأمنية و SLAs إلى حد كبير ، ويشمل النظام الإيكولوجي الأوسع آلاف مقدمي الخدمات المتخصصة. “
يلاحظ بروس أنه على الرغم من أن العديد من القدرات المبتكرة التي يمكن أن توفر مزايا تنافسية كبيرة ، فإن SLAs غالباً ما تعكس حجمها أو نضجها أو مجالات التركيز بدلاً من متطلبات أمان المؤسسة.
على سبيل المثال ، يمكن أن يواجه صانعي القرار في مفارقة الابتكار. يقول Bruce ، إذا كان هذا منصة AI أو التعلم الآلي (ML) ، إذا كان هذا يوفر إمكانيات اختراق ، ولكنها توفر فقط ضمانات أمان أساسية و 99.5 ٪ من التزامات وقت التشغيل عندما تتطلب المنظمة 99.99 ٪ توافر.
على الرغم من أن SLA يضمن التزام مزود السحابة بـ “أمان السحابة” ، مما يضمن ظهور البنية التحتية الأساسية والمرونة والأمن الأساسي ، في تجربة Sood ، فإنه لا يغطي بشكل صريح مسؤوليات العميل للأمان في السحابة.
يقول إنه حتى لو وعدت SLA بمزود الخدمة بنسبة 99.99 ٪ للبنية التحتية الخاصة به ، فإن عمليات سوء التصرف الخاصة بالعميل أو إدارة الهوية الضعيفة أو التطبيقات غير المقيدة لا تزال تؤدي إلى انتهاكات البيانات أو انقطاع الخدمة ، مما يؤدي إلى إلغاء الأمن المتصورة وفوائد التشغيل المتمثلة في SLA للمزود.
حتى إذا وعدت شركة SLA بمزود الخدمة بنسبة 99.99 ٪ للوصول إلى البنية التحتية الخاصة بها ، فإن عمليات سوء التكوينات للعميل أو إدارة الهوية الضعيفة أو التطبيقات غير المشوهة لا تزال تؤدي إلى انتهاكات البيانات أو انقطاع الخدمة
عامل آخر يجب مراعاته هو ما يسميه بروس “فجوة الامتثال”. هذا عندما يوفر مزود SAAS وظائف أساسية ، لكن إقرار البيانات أو تشفيره أو قدرات تسجيل التدقيق لا تفي بالمتطلبات التنظيمية للمؤسسة.
ثم هناك حالة عدم قدرة مقدم الخدمة على التوسع لتلبية بعض المتطلبات التي تحتاجها من قبل مؤسسة ذلك. يحدث “عدم تطابق المقياس” ، كما يسميه بروس ، في موقف يوفر فيه دار البرمجيات المتخصصة أدوات فريدة من نوعها الخاصة بالصناعة ، لكن إجراءات الاستجابة للحوادث ومراقبة الأمن لا تفي بمعايير المؤسسات.
توصي Sood باستخدام نموذج المسؤولية المشتركة (SRM) ، والذي يلعب دورًا رئيسيًا في تحديد كيفية تقسيم الأمن والواجبات التشغيلية بين مقدمي الخدمات السحابية وعملائهم. يؤثر SRM بشكل مباشر على الأمان والتوافر الكافيين من قبل المؤسسة ، مما يجعل ممارسات الأمان من جانب العميل أمرًا ضروريًا لتحقيق القيمة الكاملة لأي SLA السحابة.
قفل السحابة العامة
إلى جانب إدارة كيفية تنسيق مسؤولية أمن تكنولوجيا المعلومات ، يجب أن يكون قادة تكنولوجيا المعلومات أيضًا حذرين من مدى استخدامهم للخدمات ذات القيمة المضافة المقدمة في منصة سحابة عامة.
على سبيل المثال ، تعتبر رسوم الخروج لنقل البيانات من مركز بيانات مقدم الخدمة العامة غير شفافة. يقول مكلوجاج أن رسوم الخروج إلى جانب واجهات برمجة التطبيقات (APIs) واتفاقيات المؤسسات الملزمة غالباً ما تجعل تكلفة تبديل مقدمي الخدمات السحابية العامة مرتفعة للغاية.
“إلى جانب المنافسة الخانقة ، يقوض هذا القفل أيضًا طموح حكومة المملكة المتحدة لتصبح قوة منظمة العفو الدولية. مع وجود أعباء عمل منظمة العفو الدولية تعتمد بشكل متزايد على البنية التحتية السحابية عالية الأداء ، ويستمر في الاعتماد على مخاطر اثنين فقط من فرط الفائقة المهيمنة على التركيز على القدرة والسيطرة والابتكار في أيدي عدد قليل.”
وفقًا لـ McCluggage ، يمكن للعملاء الذين يستخدمون خدمات سحابية عامة معينة أن يواجهوا “انحرافًا اقتصاديًا”. على سبيل المثال ، تم تبرير زيادة أسعار اشتراكات Office 365 الخاصة بـ Microsoft في المملكة المتحدة-من 59.99 جنيهًا إسترلينيًا إلى 84.99 جنيهًا إسترلينيًا-بإضافة ميزات Copilot التي تعمل بالنيابة.
يقول McCluggage: “يمكن للعملاء تجنب الارتفاع عن طريق اختيار الاشتراك” الكلاسيكي “” ، مشيرًا إلى أن Microsoft جعل هذا الاشتراك أكثر صعوبة حتى يجد الناس. ويضيف: “معظم الأفراد – والمنظمات – لن يعرفوا أن لديهم خيارًا حتى يفوت الأوان. هذا ليس خلقًا للقيمة”.
كونك واقعيا بشأن شروط العقد
سيستمر النظام الإيكولوجي السحابي في التطور ، حيث يقدم مقدمو الخدمات الجدد إمكانات مقنعة إلى جانب ضمانات أمان مختلفة. يحذر Bruce من Quorum Cyber من أن محاولة القضاء على جميع ثغرات SLA تعني تخليص التقنيات التحويلية المحتملة. وبدلاً من ذلك ، يقول ، إن CISO الناجحة تحتاج إلى تطوير أطر لاتخاذ قرارات مخاطر مستنيرة تتيح الابتكار مع الحفاظ على الضوابط المناسبة.
يقول بروس ، الذي يتجاوز القبول/رفض القبول البسيط: “من خلال اتباع نهج منظم لإدارة SLA GAP ، يمكن للمؤسسات الوصول إلى الخدمات السحابية المبتكرة مع الحفاظ على المواقف الأمنية القوية والامتثال التنظيمي”.
من الأفضل أن تكون المنظمات التي تطور مناهج ناضجة لإدارة SLA GAP في وضع أفضل للاستفادة من هذه الابتكارات مع الحفاظ على معايير إدارة المخاطر المناسبة.
كل قرار التكنولوجيا ينطوي على مفاضلات المخاطر. إذا استفادت من الابتكار الجديد من السحابة و AI ، حتى لو لم يكن قد تفي بالكامل بمعايير تكنولوجيا المعلومات ، أو الذهاب مع مقدمي الخدمات السحابية العامة المعروفين حيث توجد إمكانية حبسها ومواجهة رسوم الخروج المعتمة التي يشير إليها McCluggage.
يحث Aryaka’s Sood صانعي القرار على تبني الحوكمة الاستباقية والمخاطر والامتثال (GRC) من خلال تحديث سياسات وإجراءات الأمن الداخلية للمنظمة لحساب الخدمة السحابية الجديدة وملفها الشخصي المحدد. يقول: “قم بتخطيط عناصر التحكم في أمان المزود وضوابط التعويض الخاصة بك مباشرة إلى المتطلبات التنظيمية ذات الصلة”.
يقترح Sood أيضًا أنه ينبغي على قادة تكنولوجيا المعلومات ضمان توثيق تقييمات المخاطر في المنظمة واستراتيجيات التخفيف وأي قرارات قبول المخاطر الرسمية يتم إدارة بدقة.
من خلال تبني هذه الاستراتيجيات ، يمكن لاتصالات تكنولوجيا المعلومات وأمان أن يتبنوا بثقة التقنيات السحابية المبتكرة ، مما يقلل من المخاطر الكامنة وضمان وضع امتثال قوي ، حتى عندما يواجه SLAs التي لا تفي في البداية بجميع المعايير المرجوة.
مع وجود مثل هذه التدابير والسياسات في مكانها ، يفهم صانعي قرار تكنولوجيا المعلومات المخاطر واستراتيجيات التخفيف الخاصة بهم ، والتي يجب أن تضعها في مكان أفضل لاختيار أفضل الابتكارات السحابية لمنظماتهم. يقول بروس: “السؤال ليس ما إذا كان سيتم قبول المخاطر ، ولكن كيفية إدارتها بذكاء في السعي لتحقيق أهداف العمل”.
